FileProfile()
Gælder for:
- Microsoft Defender XDR
Funktionen FileProfile()
er en berigelsesfunktion i avanceret jagt , der føjer følgende data til filer, der blev fundet af forespørgslen.
Kolonne | Datatype | Beskrivelse |
---|---|---|
SHA1 |
string |
SHA-1 for den fil, som den registrerede handling blev anvendt på |
SHA256 |
string |
SHA-256 af den fil, som den registrerede handling blev anvendt på |
MD5 |
string |
MD5-hash for den fil, som den registrerede handling blev anvendt på |
FileSize |
int |
Filens størrelse i byte |
GlobalPrevalence |
int |
Antal forekomster af enheden, der er observeret af Microsoft globalt |
GlobalFirstSeen |
datetime |
Dato og klokkeslæt for første gang, hvor enheden blev observeret globalt af Microsoft |
GlobalLastSeen |
datetime |
Den dato og det klokkeslæt, hvor enheden sidst blev observeret af Microsoft globalt |
Signer |
string |
Oplysninger om underskriveren af filen |
Issuer |
string |
Oplysninger om det udstedende nøglecenter |
SignerHash |
string |
Entydig hashværdi, der identificerer underskriveren |
IsCertificateValid |
boolean |
Om det certifikat, der blev brugt til at signere filen, er gyldigt |
IsRootSignerMicrosoft |
boolean |
Angiver, om underskriveren af rodcertifikatet er Microsoft, og om filen er indbygget i Windows OS |
SignatureState |
string |
Tilstand for filsignatur: SignedValid – filen er signeret med en gyldig signatur, SignedInvalid - filen er signeret, men certifikatet er ugyldigt, Usigneret - filen er ikke signeret, Ukendt - oplysninger om filen kan ikke hentes |
IsExecutable |
boolean |
Om filen er en PE-fil (Portable Executable) |
ThreatName |
string |
Registreringsnavn for malware eller andre trusler, der findes |
Publisher |
string |
Navnet på den organisation, der publicerede filen |
SoftwareName |
string |
Navnet på softwareproduktet |
ProfileAvailability |
string |
Angiver tilgængelighedsstatus for profildataene for filen: Tilgængelig – profilen blev forespurgte, og fildataene blev returneret, Manglende - profilen blev forespurgte, men der blev ikke fundet nogen filoplysninger, Fejl - fejl under forespørgsel om filoplysningerne, eller den maksimale tildelte tid blev overskredet, før forespørgslen kunne fuldføres, eller en tom værdi - hvis fil-id'et er ugyldigt, eller det maksimale antal filer blev nået |
Syntaks
invoke FileProfile(x,y)
Argumenter
- x – den fil-id-kolonne, der skal bruges:
SHA1
,SHA256
,InitiatingProcessSHA1
ellerInitiatingProcessSHA256
; funktionen brugerSHA1
, hvis den ikke er angivet - y – grænse til antallet af poster, der skal beriges, 1-1000; funktionen bruger 100, hvis den ikke er angivet
Tip
Berigelsesfunktioner viser kun supplerende oplysninger, når de er tilgængelige. Tilgængeligheden af oplysninger er forskellig og afhænger af mange faktorer. Sørg for at overveje dette, når du bruger FileProfile() i dine forespørgsler eller ved oprettelse af brugerdefinerede registreringer. Vi anbefaler, at du bruger funktionen FileProfile() med SHA1 for at opnå de bedste resultater.
Eksempler
Projektér kun SHA1-kolonnen, og gør den bedre
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Enrich de første 500 poster og liste filer med lav prævalens
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Forstå skemaet
- Få flere eksempler på forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.